a16z Crypto appelle les protocoles de finance décentralisée à passer de 'code is law' à 'spec is law' pour renforcer la sécurité face à la hausse des exploits. Dans un post du 11 janvier, le chercheur principal Daejun Park a plaidé pour des spécifications standardisées et des vérifications d'invariants afin de prévenir les piratages. Cette approche vise à faire mûrir le secteur de 168 milliards de dollars en codant en dur des garanties de sécurité.
La finance décentralisée, ou DeFi, fait face à des menaces persistantes d'exploits de code, les hackers ayant volé plus de 649 millions de dollars l'an dernier selon la société de sécurité blockchain Slowmist. Même des protocoles établis comme Balancer, opérationnel sur Ethereum depuis 2021, ont subi une perte de 128 millions de dollars en novembre en raison d'une vulnérabilité dans le code. Les développeurs sont de plus en plus inquiets des hackers utilisant l'intelligence artificielle pour repérer les faiblesses. En réponse, Daejun Park d'a16z Crypto a proposé d'aller au-delà des méthodes réactives de 'patch après piratage'. Il a recommandé d'intégrer la sécurité via des spécifications standardisées limitant les actions du protocole et inversant automatiquement les transactions violatrices. 'Presque tous les exploits à ce jour auraient déclenché l'une de ces vérifications pendant l'exécution, stoppant potentiellement le piratage', a écrit Park. 'Ainsi, l'idée populaire de 'code is law' évolue vers 'spec is law'.' Ce concept, connu sous le nom d'exécution à l'exécution ou vérifications d'invariants, gagne du terrain. Des protocoles comme Kamino, plateforme de prêt basée sur Solana, ont intégré des vérifications avec Certora Prover en mars 2023. Le XRP Ledger, qui supporte le token XRP de 120 milliards de dollars, les a également implémentés pour se protéger contre des bugs non détectés. 'Les invariants ne devraient pas se déclencher, mais ils assurent l'intégrité du XRP Ledger contre des bugs encore non découverts ou même créés', ont déclaré ses développeurs. Cependant, les experts mettent en garde que les vérifications d'invariants ne sont pas infaillibles. Gonçalo Magalhães, responsable de la sécurité chez Immunefi, a noté qu'elles pourraient augmenter les frais de transaction, décourageant les utilisateurs dans un marché sensible aux coûts. 'Ce n'est pas la balle magique', a-t-il dit. Felix Wilhelm d'Asymmetric Research a ajouté que concevoir des vérifications efficaces est difficile, car elles peuvent se déclencher faussement lors d'opérations normales ou échouer à arrêter des attaques sophistiquées. Bien qu'utiles pour détecter des anomalies comme des flux de fonds inhabituels, elles atténuent souvent plutôt que préviennent les dommages. Les idées de Park soulignent la poussée de la DeFi vers une sécurité fondée en principes pour favoriser la croissance, bien que des obstacles à la mise en œuvre persistent.
